Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Radicación 19-47344
En ejercicio de sus facultades legales, en especial las conferidas por los artículos 19 y 21 de la
Ley 1581 de 2012, y los numerales 5 y 9 del artículo 17 del Decreto 4886 de 2011 y
CONSIDERANDO
PRIMERO: Que, esta Superintendencia tuvo conocimiento de la presunta violación de las normas
de protección de datos personales contenidas en la Ley 1581 de 2012 por parte de la sociedad
SODIMAC COLOMBIA S.A, (en adelante “la investigada”), identificada con Nit. 800.242.106-2, por
lo que decidió iniciar investigación administrativa en consideración a los siguientes hechos,
narrados por el señor XXXXXXXXXXXXXXXXX1 identificado con la cédula de ciudadanía
XXXXXXXX:
1.1. Expuso el titular que, el día 23 de febrero de 2019 recibió en su correo electrónico, un mensaje
de la sociedad SODIMAC COLOMBIA S.A., a través de la dirección electrónica
"info@homecenter.co", en el cual le solicitaban su autorización para el tratamiento de sus
datos personales.
1.2. Aseguró que, dicho correo traía consigo la siguiente frase "Cuando no hago clic en la opción
'ACEPTO', autorizo a Sodimac Colombia S.A. como consta en el AVISO DE PRIVACIDAD expuesto
en cada una de las tiendas HOMECENTER y CONSTRUCTOR (...).", en virtud de lo anterior, el
Titular consideró que el modelo de autorización en mención llevaba a que, sin importar si el
destinatario respondía de forma afirmativa o negativa, este autorizaba a la sociedad para el
tratamiento de los datos personales de quien recibía el mensaje; motivo por el cual decidió
no otorgar su autorización.
SEGUNDO: Que, con base en los hechos anotados, a partir de los cuales se advirtió la presunta
violación de las normas sobre protección de datos personales y, en particular, las disposiciones
contenidas en el literal b) del artículo 17 de la Ley 1581 de 2012, en concordancia con el literal c)
del artículo 4 y el artículo 9 de la misma ley, así como con los artículos 2.2.2.25.2.2 y 2.2.2.25.2.5
del Decreto único Reglamentario 1074 de 2015, el 29 de noviembre 2019 se inició la presente
investigación administrativa, mediante la expedición de la Resolución 684612 del 29 de noviembre
de 2019, por medio de la cual se formuló un CARGO ÚNICO a la sociedad SODIMAC COLOMBIA
S.A, identificada con Nit. 800.242.106-2.
TERCERO: Que la Resolución 68461 del 29 de noviembre de 2019 le fue notificada personalmente
a la sociedad SODIMAC COLOMBIA S.A. a través de su representante, el señor ALIRIO ANDRÉS
LIZARAZO NAVARRO, el 06 de diciembre de 2019, según consta en la certificación expedida por
la Secretaria General Ad-Hoc de esta Superintendencia radicada bajo el número 19-47344-12 del
12 diciembre de 2019.
1
Denuncia presentada por el titular de la información el 25 de febrero de 2019, visible en el expediente bajo el consecutivo n úmero 19-47344-0-0.
2
Resolución 68461 del 29 de noviembre de 2019 visible en el expediente bajo el número 19-47344-6-1.
HOJA N 2
RESOLUCIÓN NÚMERO 59001 DE 2020 ,
“Por la cual se impone una sanción administrativa y se
imparten unas órdenes”
CUARTO: Que mediante escrito radicado bajo el número 19- 47344 -13 de fecha 23 de diciembre
2019, la sociedad SODIMAC COLOMBIA SA. presentó escrito de descargos, a través de su
apoderado general JUAN SEBASTIAN PACHON GUERRERO, manifestando, entre otras cosas,
lo siguiente:
4.1 En primer lugar, la sociedad investigada hace una breve descripción de los antecedentes de la
presente actuación administrativa, señalando que, “Los hechos que dan inicio a la presente
investigación se encuentran narrados tanto en la solicitud de información emanada de la Dirección de
Investigaciones, como en el escrito de respuesta a la misma del pasado veintidós (22) de mayo de 2019,
mediante el cual esta Sociedad dio respuesta a cada uno de los puntos que dio origen al requerimiento de
averiguación preliminar en la presente investigación.
En efecto, mediante el oficio 19-47344-4 proferido el 03 de mayo de 2019, la Entidad pidió a mi representada
que informara sobre algunas cuestiones relacionadas con el Sr. XXXXXXX, cliente de las tiendas
Homecenter de propiedad de Sodimac Colombia S.A. En tal pedido de información, el cual fue positivamente
resuelto, la Sociedad investigada presentó cada uno de los elementos en su poder para satisfacer el
requerimiento de la Autoridad.
Es así como, en la solicitud primera la SIC solicitó "Manifestar y acreditar cuál fue el mecanismo
implementado por Sodimac para la recolección de los datos personales del titular XXXXXX" a lo cual
SODIMAC respondió que "El 2 de noviembre de 2013 el cliente entregó de manera verbal y presencial al
asesor de Homecenter, sus datos personales para atender su pedido en uno de nuestros sistemas". Estos
datos fueron recolectados por SODIMAC con la finalidad de poder entregarle el producto a su domicilio.
Asimismo, en la solicitud segunda la SIC solicitó "Presentar la autorización expresa, previa e informada, del
titular XXXXXXX, para el tratamiento de sus datos personales", a lo cual SODIMAC emitió la última
autorización entregada por el cliente y que fue dada el 25 de febrero de 2019 por parte del señor
XXXXXXXXX.”
4.2 A continuación, indicó frente al cargo único formulado por este Despacho, en relación con el
deber de solicitar y conservar copia de la autorización, lo siguiente: “Ante este cargo se precisa que
no es cierto que no tuviéramos la autorización del cliente desde el 2 de noviembre de 2013, momento en el
que el señor XXXXXXXXX entregó de manera verbal y presencial al asesor de Homecenter, sus datos
personales para atender su pedido en uno de nuestros sistemas”.
Debido a que desde el primer ingreso de los datos del cliente (2 de noviembre de 2013), se contaban con
avisos de privacidad en las tiendas, los cuales tenían la finalidad que mediante el acto inequívoco que el
cliente entregara su autorización para el tratamiento de los datos personales, situación que así ocurrió con
el señor XXXXXXX.
Estos avisos de privacidad se encontraban para el 2 de noviembre de 2013 en la tienda Homecenter Avenida
68 Sur en la ciudad de Bogotá, como se evidencia en las siguientes imágenes:
HOJA N 3
RESOLUCIÓN NÚMERO 59001 DE 2020 ,
“Por la cual se impone una sanción administrativa y se
imparten unas órdenes”
HOJA N 4
RESOLUCIÓN NÚMERO 59001 DE 2020 ,
“Por la cual se impone una sanción administrativa y se
imparten unas órdenes”
Estas imágenes son obtenidas del documento titulado "7.1. Aviso de privacidad - HC AV. 68 Sur" mediante
el cual el Jefe de Prevención y Pérdidas del almacén Homecenter Av. 68 Sur declaró que, en dicho
establecimiento de comercio, para el día 27 de julio de 2011, se encontraban publicados los avisos de
privacidad.”
4.3 Igualmente, precisó que, “En ese sentido, se aclara que el inicio de la expedición del marco normativo
colombiano en Protección de datos, nos hemos propuesto liderar en forma decidida la implementación real
y efectiva de controles tendientes al aseguramiento de los datos que administramos.
Es así que hemos desarrollado medidas conducentes a salvaguardar la privacidad con la observancia de
buenas prácticas en el aseguramiento de la información. Uno de los vectores principales en este
aseguramiento, es la gestión del consentimiento de los distintos grupos de titulares de datos con los que
interactuamos. De esta forma nos hemos acogido en cuanto a buenas prácticas corporativas, a principios de
debida diligencia y responsabilidad demostrada por nuestra actividad en la administración de datos.
Frente al caso expuesto por la Superintendencia de Industria y Comercio, respecto a la autorización del Sr.
XXXXX, debemos aclarar de inmediato al despacho, que esta Sociedad que trata un número importante de
datos personales, dispuso distintos mecanismos para la recolección de autorizaciones en diversos formatos
transaccionales, así como avisos en habladores y tableros en tiendas dada la complejidad de nuestra
operación comercial.
Así las cosas, en su momento contábamos con mecanismos que hacen uso de los 3 medios para obtener el
consentimiento señalados en la Ley 1581 de 2012 y sus decretos, los cuales con el paso de los años han
venido robusteciéndose y variando para ajustarse a los avances tecnológicos y la realidad de negocio. De lo
anterior, se desprende que son varios los instrumentos que esta Sociedad ha implantado con el fin de solicitar
y conservar prueba de las autorizaciones entregadas por el titular de los datos.”
4.4 Se refirió a la aplicación de responsabilidad demostrada, así, “Con los nuevos desarrollos
reglamentarios y fruto del análisis de la Guía para la implementación del principio de responsabilidad
demostrada, en 2015 revisamos todos nuestros mecanismos de autorización pudiendo contemplar
oportunidades de mejoras de aquellos que en su momento tuvieron cuestionamientos internos, bien porque
no ofrecían el pleno de garantías o bien por buenas prácticas corporativas. De esta forma, uno de tales
mecanismos consistía en estos habladores ubicados en cajas y otros lugares como las áreas de
devoluciones o garantías donde era propicio la instalación de los mismos, ya que visualmente eran
accesibles por los titulares”.
Respecto de la obtención de la autorización del denunciante, manifestó que “Como venimos demostrando
en el curso de esta investigación el mecanismo especifico aplicable al caso del Sr. XXXXXX, fue el de
conducta inequívoca al entregar los datos para el despacho de pedidos de compras realizadas en tiendas.
Dicho instrumento se compone del Aviso o tablero que informa al titular las finalidades del tratamiento de
sus datos, así como los derechos que le asisten como titular, tal como lo señalan el marco normativo de
protección de datos. Es de esta forma, como desde el pasado 02 de noviembre de 2013, Sodimac cuenta
con la autorización mediante conducta inequívoca del Quejoso.
Como veníamos indicando, este mecanismo pretendió ser mejorado, con la introducción de un sistema que
permitiera dejar una prueba de su trazabilidad y evidencia a través del envío de un mensaje de correo
electrónico como mecanismo de validación de identidad y al mismo tiempo una acción positiva del titular al
aceptar mediante click en un botón enviado al correo del tratamiento de los datos.
Por lo anterior, debe percatarse la Superintendencia que contrario a lo que se expresa en el pliego de cargos,
efectivamente desde el año 2013 contamos con la autorización del titular para el uso de sus datos
personales. Así mismo, en un nuevo contacto en nuestra tienda, el pasado mes de febrero de 2019, y
nuevamente con su avenencia, se le solicito correo electrónico para enviarle un nuevo formato de
autorización, más expreso y especifico, que tenía por objeto corroborar las condiciones, finalidades y
transparencia en el uso de sus datos.”
4.5 Con respecto del principio de legalidad sostuvo que,“ (…)es preciso reiterar a la entidad que nuestro
escrito de respuesta al requerimiento de información solo se circunscribió a la pregunta de si se contaba con
la autorización por lo que se respondió que si desde el pasado 25 de Febrero de 2019; aunque se trata de
una afirmación valida, es parcialmente cierto, porque lo que debió indicarse que si bien se recogió una nueva
autorización del Sr. XXXXXXX, lo cierto es que también contábamos con su autorización como cliente desde
el año 2013.
Esto debe llevar a desestimar el cargo, toda vez que con los documentos que ahora aportamos, estamos
demostrando que el Sr. XXXXXXXXX, si nos había autorizado para el tratamiento de sus datos, desde al
menos noviembre de 2019. En particular, aportamos imágenes y constancia de fijación de nuestros avisos
HOJA N 5
RESOLUCIÓN NÚMERO 59001 DE 2020 ,
“Por la cual se impone una sanción administrativa y se
imparten unas órdenes”
en tiendas físicas que demuestran que, en noviembre de 2013, fecha en la que se capturaron los datos del
Sr. XXXXXX en la tienda Homecenter Av 68 Sur de la ciudad de Bogotá, ya se contaban con los mecanismos
para dar noticia a los titulares del tratamiento de sus datos.
Con lo anterior, queremos aclarar que en la primera respuesta emitida a la SIC, no se hizo mención a la
publicación del aviso de privacidad físico implementado en el año 2013 ya que la pregunta establecida hacía
referencia solo a manifestar y acreditar cuál fue el mecanismo implementado por SODIMAC para la
recolección de los datos personales del Titular XXXXXXX, teniendo en cuenta lo anterior solo se emitió
respuesta a la pregunta escalada sin dar alcance a la publicación del aviso de privacidad físico implementado
en el año 2013, pero se aclara que si se cuenta con la misma.
En este sentido, rogamos le dé la valoración de rigor a los elementos probatorios que relacionamos con el
presente escrito de descargos.”
4.6 A continuación, retoma sus argumentos en punto del principio de Responsabilidad Demostrada,
indicando lo siguiente: “Desde la expedición de la Ley 1581 de 2012 y sus decretos reglamentarios la
empresa ha venido liderando la implementación de dicha normativa bajo los postulados del cumplimiento y
la generación de una cultura de privacidad al interior de la empresa. Desde el año 2013 con la expedición
del Decreto 1377 de 2013 - hoy contenido en el D.U 1074 de 2015-, la empresa adoptó una serie de Políticas
y procedimientos con el fin de generar una posición uniforme como empresa frente a los postulados de la
privacidad en su sector.
Así las cosas, de conformidad con el Art. 26 del Decreto 1377 de 2013 (Hoy DU 1074 de 2015), pretendemos
demostrar a la SIC que las medidas adoptadas son apropiadas y efectivas en el tratamiento de datos
personales para una empresa del tamaño, sector y características de las de Sodimac Colombia S.A.
Medidas implementadas:
4.Ahora bien, Sodimac Colombia S.A., cuenta con políticas internas de seguridad y ha sido diligente al
adoptar e implementar su Política general de Seguridad de la Información, donde se incorporan estándares
y procedimientos para la seguridad y confidencialidad de la información.
(…)
5. Esta sociedad ha efectuado sensibilización tanto a clientes y terceros en nuestras tiendas, mediante avisos
de privacidad y video-grabación; así como comunicaciones internas para colaboradores resaltando la
importancia de la protección de datos personales, a título de ejemplo se anexan los correos electrónicos del
6 de septiembre de 2013 (Conoce nuestra nueva política de seguridad de la información), 23 de septiembre
de 2013 (Seguridad de la información, Ley 1581), 4 de noviembre de 2014 (Protección de Datos personales)
y 29 de marzo de 2016, recientemente hemos dictado otra charla el 04 de Septiembre de 2019 sobre el
tema.”
Además, entendiendo la importante (sic) de hacer más cercano el tema de Protección de Datos Personales
hacía(sic) los colaboradores, se desplegó la estrategia de comunicación interna "Protección de Datos para
Dummies", que en términos sencillos pretendía acercar al trabajador a la Protección de la información de
nuestros clientes, proveedores, contratistas y demás, y que también entendiese sus derechos como Titular
de sus Datos personales. A título de ejemplo, compartimos la entrega vía correo electrónico del 18 de
septiembre de 2013.
De conformidad con las anteriores explicaciones y la documentación de dichas medidas que aportamos con
el presente escrito como pruebas documentales, solicitamos en aplicación de los artículos 26 y 27 del
HOJA N 6
RESOLUCIÓN NÚMERO 59001 DE 2020 ,
“Por la cual se impone una sanción administrativa y se
imparten unas órdenes”
Decreto 1377 de 2013, se declare que Sodimac Colombia S.A., ha cumplido, frente al caso particular, con
sus obligaciones en materia de protección de datos personales de acuerdo a la ley 1581 de 2012 y en
consecuencia se ordene exonerar de cualquier responsabilidad y consecuentemente se archive la presente
investigación.”
4.7 Concluyó su escrito, señalando que: “Por último, y corroborando lo hasta aquí expuesto, refiriéndonos
al numeral 2 del requerimiento de información remitido a Sodimac por la SIC, en los términos del artículo 9
de la Ley 1581 de 2012. ¿Cuenta con autorización expresa previa e informada del Titular
XXXXXXXXXXXXXXX, para el Tratamientos de sus datos personales? Para cual se emitió la última
autorización entregada por el cliente que fue dada el 25 de febrero del año 2019, pero esto no quiere decir
que antes de esa fecha SODIMAC no haya implementado mecanismos que permitan obtener la autorización
del cliente ya sea expresa o a través de mía acción positiva esto es mediante conducta inequívoca.
Por ello, solicitamos de manera enfática y respetuosa se archive la presente investigación, toda vez que la
motivación fáctica sustento de la misma debe armonizarse con la realidad procesal puesta en conocimiento
a través del presente escrito.”
QUINTO: Que mediante Resolución 8660 del 28 de febrero de 2020, esta Dirección incorporó las
pruebas obrantes en la totalidad del expediente radicado bajo el número 19-47344-14-1, folios 1 a
93, y rechazó la prueba solicitada por la sociedad SODIMAC COLOMBIA S.A. En el mismo acto
administrativo, se declaró agotada la etapa probatoria y se corrió traslado a la investigada para que
rindiera los alegatos de conclusión respectivos.
SÉPTIMO: Que mediante escritos radicados bajo los números 19-047344-00017-0001 y 19-
047344-00018-0001 de fecha 12 de marzo de 2019, el apoderado de la sociedad investigada, doctor
JUAN SEBASTIAN PACHON GUERRERO, presentó alegatos de conclusión, en los cuales reiteró
lo expresado en sus descargos, adicionando lo siguiente:
(…)En este sentido, se precisa que esta segunda autorización se presentó en razón a que la compañía le
envió al cliente de manera preliminar un correo electrónico con el texto para obtener de manera expresa la
autorización del tratamiento de sus datos personales, para su aceptación o rechazo, ante la cual el cliente
decidió hacer una acción positiva haciendo clic en el botón "Aceptar" que fue enviado a su correo electrónico.
En ese sentido, fue a partir de un nuevo contacto que se tuvo con el cliente en nuestra tienda Calle 80 Bogotá
en el mes de febrero de 2019, que se le envió dicho correo electrónico con el nuevo texto de autorización de
la política de tratamiento de los datos personales de Sodimac Colombia S.A., la cual fue aceptada por el
cliente sin ningún tipo de advertencia o sugerencia en su momento.
Conforme a lo anterior, sea nuevamente la oportunidad de presentar el soporte que demuestra que el titular
realizó la acción positiva haciendo clic en el botón "Aceptar" del texto de autorización del tratamiento de los
datos personales de Sodimac Colombia S.A., la cual fue aceptada el día 25 de febrero de 2019. La imagen
es la siguiente:
En ese sentido, es de aclarar que siempre nos encontramos disponibles a escuchar a nuestros clientes ante
cualquier ajuste que ellos consideren necesario. Sin embargo, no se presentó queja alguna por parte del
señor XXXXX.
HOJA N 7
RESOLUCIÓN NÚMERO 59001 DE 2020 ,
“Por la cual se impone una sanción administrativa y se
imparten unas órdenes”
La Corte Constitucional mediante sentencia C-748 de 20113, estableció lo siguiente en relación con
el principio de tipicidad en el derecho administrativo sancionatorio:
“En relación con el principio de tipicidad, encuentra la Sala que, pese a la generalidad de la ley, es
determinable la infracción administrativa en la medida en que se señala que la constituye el
incumplimiento de las disposiciones de la ley, esto es, en términos específicos, la regulación que
hacen los artículos 17 y 18 del proyecto de ley, en los que se señalan los deberes de los responsables
y encargados del tratamiento del dato”.
Atendiendo los parámetros señalados por la citada jurisprudencia, para el caso específico se tiene
que:
(i) El artículo 17 de la Ley 1581 de 2012 establece los deberes que les asisten a los
responsables del tratamiento respecto del manejo de los datos personales de los titulares.
El incumplimiento de tales requisitos dará lugar a la aplicación de las sanciones definidas
específicamente en el artículo 23 de la Ley 1581 de 2012.
(ii) De conformidad con los hechos alegados por los reclamantes y el acervo probatorio que obra
en el expediente, se puede establecer que la conducta desplegada por la investigada se
concreta en la posible vulneración del literal b) del artículo 17 de la Ley 1581 de 2012, en
concordancia con el literal c) del artículo 4 y el artículo 9 de la misma Ley, así como con los
artículos 2.2.2.25.2.2 y 2.2.2.25.2.5 del Decreto único Reglamentario 1074 de 2015.
En ese orden de ideas, corresponde a este Despacho establecer si la conducta desplegada por la
investigada dará lugar o no a la imposición de una sanción, para lo cual se deberán tener en cuenta
los hechos narrados por el denunciante, las razones de hecho y de derecho aducidas por la
investigada en los escritos de descargos y los alegatos de conclusión, así como el conjunto de
pruebas allegadas al expediente.
9.2.1 Respecto del deber solicitar y conservar autorización previa, expresa e informada del
titular para el tratamiento de sus datos personales
El artículo 15 de la Constitución Política establece que las personas, en desarrollo de sus derechos
a la autodeterminación informática y el principio de libertad, son quienes de forma expresa deben
autorizar que la información que sobre ellos sea recaudada pueda ser incluida en una base datos.
3
Corte Constitucional, Magistrado Ponente Jorge Ignacio Pretelt Chaljub, seis (6) de octubre de dos mil once (2011).
HOJA N 8
RESOLUCIÓN NÚMERO 59001 DE 2020 ,
“Por la cual se impone una sanción administrativa y se
imparten unas órdenes”
Los principios rectores, además, deben confluir en cuanto a su aplicación con los deberes y
derechos contenidos en la Ley 1581 de 2012, específicamente en el presente caso, es relevante
mencionar los deberes que tienen los Responsables de garantizar al Titular, en todo tiempo, el
pleno y efectivo ejercicio del derecho de hábeas data.
Los datos personales que se encuentren en fuentes de acceso público, con independencia
del medio por el cual se tenga acceso. entendiéndose por tales aquellos datos o bases de
datos que se encuentren a disposición del público, pueden ser tratados por cualquier
persona siempre y cuando, por su naturaleza, sean datos públicos.
(…) Quiero manifestar mi inconformidad por la inconsistencia que este correo enviado por Uds. solicitando
mi autorización para el tratamiento de mis datos personales.
En los siguientes dos apartados referidos a la acción de darle click al campo "Aceptar" en la parte inferior
del correo, ya sea que se haga click o no se haga el click, tienen la misma consecuencia: la autorización.
“Por ello cuando hago clic en la opción "ACEPTO", autorizo de manera previa, expresa e inequívoca que
mis datos personales sean tratados (recolectados, almacenados, usados, compartidos, procesados,
transmitidos, transferidos, suprimidos o actualizados) ... "
HOJA N 9
RESOLUCIÓN NÚMERO 59001 DE 2020 ,
“Por la cual se impone una sanción administrativa y se
imparten unas órdenes”
"Cuando no hago clic en la opción "ACEPTO", autorizo a Sodimac Colombia S.A. como consta en el AVISO
DE PRIVACIDAD expuesto en cada una de las tiendas HOMECENTER y CONSTRUCTOR, de manera
previa, expresa e inequívoca para que mis datos personales sean tratados (recolectados, almacenados,
usados, compartidos, procesados, transmitidos, suprimidos o actualizados), ...”
Así mismo, el titular allegó a esta Superintendencia, copia del correo electrónico fechado al 23 de
febrero de 2019 y que le fuere enviado por la investigada, corroborándose lo manifestado por el
quejoso:
(…)
(…)
Ahora bien, con el propósito de contar con más elementos de juicio, la Coordinación del Grupo de
Trabajo de Investigaciones Administrativas de esta Dirección, requirió a la sociedad SODIMAC
S.A., mediante oficio radicado bajo el numero 19-47344-4-1 del 03 de mayo de 2019, con el
propósito de que informara, entre otras cosas, lo siguiente:
“(…)
En los términos del artículo 9 de la ley 1581 de 2012 ¿Cuenta con autorización expresa, previa e informada
del titular XXXXXXXXX, para el tratamiento de sus datos personales?
En caso de ser afirmativa su respuesta, remitir copia del formulario y/o formato mediante el cual se realiza
este procedimiento y se informa al titular la finalidad de la recolección y los derechos que le asisten por virtud
de la autorización otorgada.
(…)
“(…) Respuesta. De conformidad con lo indicado en el artículo 9 de la Ley 1581 de 2012, Sodimac Colombia
S.A. si cuenta con la autorización expresa del titular para el tratamiento de sus datos.
La aceptación expresa al tratamiento de datos por parte del cliente se presentó el 25 de febrero de 2019 a
través de correo electrónico. Como soporte de esta autorización se presenta la captura de pantalla con su
traza de log transaccional2, que contiene la autorización y el formulario por el que se captura la autorización.”
De acuerdo con las imágenes aportadas por la investigada, en el curso de las actuaciones
preliminares adelantadas por esta Dirección, se encontró que la sociedad SODIMAC S.A. no
demostró haber conservado autorización previa y expresa del titular. En consecuencia, este
Despacho formuló cargos mediante la Resolución 68461 del 29 de noviembre de 2019, sustentada
en las siguientes consideraciones:
“LA INVESTIGADA, no demostró el haber conservado la autorización previa y expresa del Titular
solicitada, dado que la fecha del documento que aportó como autorización es posterior a cuando
indicó haber obtenido los datos personales del titular es decir el 2 de noviembre de 2013, y adicional
a ello se entiende que el correo de aceptación al que hace referencia la sociedad SODIMAC
COLOMBIA S.A., del 25 de febrero de 2019, es por el cual el Titular presentó una reclamación y, aún
más, en el que expresamente denegó la autorización al tratamiento de sus datos personales; solicitud
que fue atendida por la investigada mediante comunicación de 15 de marzo de 2019 señalándole al
Titular: "se realiza la revocación de sus datos personales para que no sean usados dentro de
SODIMAC COLOMBIA S.A".
En consecuencia, se tiene preliminarmente que el tratamiento de los datos personales del Titular
estaría realizando sin que la sociedad SODIMAC COLOMBIA S.A. haya solicitado o conservado la
autorización dada por el Titular para ello”
“Ante este cargo se precisa que no es cierto que no tuviéramos la autorización del cliente desde el 2 de
noviembre de 2013, momento en el que el señor XXXXXXXXXX entregó de manera verbal y presencial al
asesor de Homecenter, sus datos personales para atender su pedido en uno de nuestros sistemas”.
Debido a que desde el primer ingreso de los datos del cliente (2 de noviembre de 2013), se contaban con
avisos de privacidad en las tiendas, los cuales tenían la finalidad que mediante el acto inequívoco que el
cliente entregara su autorización para el tratamiento de los datos personales, situación que así ocurrió con
el señor XXXXXXXXXXXXX”.
De acuerdo con lo anterior, es pertinente aclarar que, para esta Dirección, de acuerdo con las
normas establecidas en el artículo 9 de la ley 1581 de 2012, no es admisible el argumento expuesto
por la sociedad investigada, en el sentido de sostener que el Titular otorgó la autorización para el
tratamiento de sus datos personales a través de una conducta que la sociedad considera
inequívoca, a partir de avisos de privacidad como lo manifiesta en sus descargos.
HOJA N 13
RESOLUCIÓN NÚMERO 59001 DE 2020 ,
“Por la cual se impone una sanción administrativa y se
imparten unas órdenes”
En este punto, cobra especial relevancia, destacar que el Decreto Único Reglamentario 1074 de
2015 en el artículo 2.2.2.25.3.2 desarrolla el concepto de “Aviso de Privacidad” precisando que, en
caso de que no sea posible poner a disposición del Titular las Políticas de Tratamiento de la
información, los responsables puedan informar por medio dicho aviso acerca de la existencia de
tales políticas y la forma de acceder a las mismas de manera oportuna. De esa manera, queda
absolutamente clara la finalidad establecida por el Gobierno Nacional en relación con la
implementación del referido instrumento, que no es otro que poner en conocimiento de los
Titulares, la existencia de una Política de Tratamiento de Datos.
Para mayor ilustración, esta Superintendencia, a través de la cartilla “Formatos modelo para el
cumplimiento de obligaciones establecidas en la Ley 1581 de 2012 y sus decretos reglamentarios”,
define el aviso de privacidad y señala el contenido mínimo del mismo, así:
“4.1. DEFINICIÓN Es una de las opciones de comunicación verbal o escrita que brinda la ley para
darle a conocer a los titulares de la información, la existencia y las formas de acceder a las políticas
de tratamiento de la información y el objetivo de su recolección y uso.
Los mecanismos dispuestos por el responsable de los datos para que el titular conozca la política
y los cambios que se produzcan en ella o en el aviso de privacidad correspondiente.
En caso de que la organización o el responsable recolecte datos personales sensibles tales como
el origen racial o étnico, orientación sexual, filiación política o religiosa, etc.; debe explicarle al titular
de los datos el carácter sensible que posee este tipo de información y, además, debe darle la opción
de elegir si responde o brinda estos datos.
Precisado lo anterior y retomando el asunto bajo estudio, se observa que el Régimen General de
Protección de Datos contempló de manera expresa el deber que les asiste al Responsable del
Tratamiento previo a la recolección de los datos personales, de solicitar el consentimiento del
Titular, y que este pueda ser objeto de consulta posterior.
En igual sentido, es oportuno recordar que, el silencio, en ningún caso puede ser entendido como
el otorgamiento de la autorización, la cual, adicionalmente tiene componentes cualificados. Véase,
que debe ser previa, expresa e informada. Supuestos fácticos que no fueron acreditados en la
presenta investigación
Consecuentemente, en el caso bajo estudio, según los argumentos expuestos por la sociedad
investigada, respecto a que el titular otorgó su autorización para el tratamiento de la información a
través de una conducta tácita e inequívoca, no es de recibo para esta Dirección; en razón a que,
tal como lo menciona el fundamento legal, el silencio no puede ser asimilado a una conducta
inequívoca.
4 Corte Constitucional Sentencia C 748 del 6 de octubre de 2011 MP Jorge Ignacio Pretelt Chaljub.
HOJA N 14
RESOLUCIÓN NÚMERO 59001 DE 2020 ,
“Por la cual se impone una sanción administrativa y se
imparten unas órdenes”
Ahora bien, frente al correo electrónico enviado el 23 de febrero de 2019 por parte de la sociedad
SODIMAC S.A. al Titular de la información, es importante resaltar que para dicha fecha, esa
sociedad no contaba con la autorización previa y expresa para dar tratamiento a los datos
personales del Titular; aunado al hecho de que el Titular manifestó que dicho correo no traía la
opción de aceptar o rechazar la autorización para el tratamiento; razón por la cual solicitó a la
sociedad investigada por vía electrónica, la corrección de la inconsistencia presentada y determinó
no autorizar el tratamiento de sus datos, solicitud que fue atendida por la sociedad el 15 de marzo
de 2019.
De acuerdo con los argumentos expuestos en líneas precedentes, encuentra este Despacho que,
contrario a lo señalado por la sociedad investigada, no se evidencia manifestación por el Titular de
la información dirigida a otorgar su consentimiento para el tratamiento de sus datos personales,
conforme a lo establecido en el literal b artículo 17 de la ley 1581 de 2012.
De este modo, es evidente que la documentación allegada por la sociedad investigada en esta
instancia, así como las piezas probatorias recolectadas a lo largo de la investigación, no desvirtúan
el incumplimiento del Régimen General de Protección de Datos Personales, por parte de la
sociedad SODIMAC S.A., toda vez que esta no demostró haber obtenido la autorización previa,
expresa e informada para el tratamiento de los datos personales del señor
XXXXXXXXXXXXXXXXX, desde el día en que estos fueron recolectados, es decir, el 02 de
noviembre de 2013 pues, como se ha dicho los avisos de privacidad implementados de ninguna
manera suplen la autorización en los términos señalados en la Ley; y en consecuencia, desconoció
el deber que le asiste en su calidad de responsable del tratamiento contemplado en el literal b) del
artículo 17 de la Ley 1581 de 2012, en concordancia con el literal c) del artículo 4 y el artículo 9 de
la misma Ley, así como con los artículos 2.2.2.25.2.2 y 2.2.2.25.2.5 del Decreto único
Reglamentario 1074 de 2015.
• Así mismo, deberá proceder con la supresión de todos los datos personales, de los titulares
cuyo consentimiento haya obtenido mediante avisos de privacidad, conforme a lo expuesto
en la presente decisión.
(…)
5
Escrito de descargos bajo radicado número 19-047344-00013-0001 de fecha 23 de diciembre de 2019
HOJA N 15
RESOLUCIÓN NÚMERO 59001 DE 2020 ,
“Por la cual se impone una sanción administrativa y se
imparten unas órdenes”
4.Ahora bien, Sodimac Colombia S.A., cuenta con políticas internas de seguridad y ha sido diligente al
adoptar e implementar su Política general de Seguridad de la Información, donde se incorporan estándares
y procedimientos para la seguridad y confidencialidad de la información.
De manera que, la compañía cuenta con un marco normativo organizado de la siguiente forma:
Donde la Política General de Seguridad de la Información está concebida tomando como práctica líder a la
norma ISO 27001 y cada una de las políticas de segundo nivel tomando como práctica líder la norma ISO
27002, en las que se cuentan:
- Administración de Incidentes
Como ya lo anunciábamos, esta sociedad cuenta con la Política de Tratamiento de Datos de cara al cliente
que se encuentra en la web: www.homecenter.com.co, enlace Privacidad y Seguridad, que además se
aporta con esta respuesta.
Adicional al marco normativo la compañía lleva un inventario de las bases de datos que almacenan datos
personales de clientes, colaboradores, terceros.”
Sin embargo, esta Superintendencia ha sido enfática en señalar que las disposiciones contenidas
en los artículos 2.2.2.25.6.1 y siguientes del Decreto 1074 de 2015, en relación con la adopción de
políticas y procedimientos efectivos para el adecuado cumplimiento de la Ley 1581 de 2012 implican
que concurran una serie de presupuestos que permitan evidenciar que los procedimientos
implementados, en la práctica son reales y efectivos.
6
Cfr. Corte Constitucional, sentencia T-227 de 2003
HOJA N 16
RESOLUCIÓN NÚMERO 59001 DE 2020 ,
“Por la cual se impone una sanción administrativa y se
imparten unas órdenes”
En virtud de lo anterior, el capítulo III del Decreto 1377 del 27 de junio de 2013 -incorporado en el
decreto 1074 de 2015- reglamenta algunos aspectos relacionados con el principio de
responsabilidad demostrada.
El artículo 267 -titulado DEMOSTRACIÓN- establece que "los responsables del tratamiento de
datos personales deben ser capaces de demostrar, a petición de la Superintendencia de Industria
y Comercio, que han implementado medidas apropiadas y efectivas para cumplir con las
obligaciones establecidas en la Ley 1581 de 2012". Así, resulta imposible ignorar la forma en que
el responsable o encargado del tratamiento debe probar que pone en funcionamiento medidas
adecuadas, útiles y eficaces para cumplir la regulación. Es decir, se reivindica que un administrador
no puede utilizar cualquier tipo de políticas o herramientas para dicho efecto, sino solo aquellas
que tengas como propósito lograr que los postulados legales sean realidades verificables, y no
solo se limiten a creaciones teóricas e intelectuales.
Conforme con ese análisis, las recomendaciones que trae la guía a los obligados a cumplir la ley
1581 de 2012:
Diseñar y activar un programa integral de gestión de datos (en adelante PÍGDP). Esto, exige
compromisos y acciones concretas de los directivos de la organización. Igualmente requiere la
implementación de controles de diversa naturaleza. Desarrollar un plan de revisión, supervisión,
evaluación y control del PIGDP, y demostrar el debido cumplimiento de la regulación sobre
tratamiento de datos personales.
7
El texto completo del artículo 36 del decreto 1377 de 2013 ordena lo siguiente: Articulo 25. Demostración. Los responsables del tratamiento de
datos personales deben ser capaces de demostrar, a petición de la Superintendencia de Industria y Comercio, que han implementado medid as
apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012 y este decreto, en una manera que sea proporcional
a lo siguiente:
La naturaleza jurídica del responsable y, cuando sea del caso, su tamaño empresarial, teniendo en cuenta si se trata de una micro, pequeña,
mediana o eran empresa, de acuerdo con la normativa vigente.
La naturaleza de los datos personales objeto del tratamiento.
El tipo de Tratamiento.
Los riesgos potenciales que el referido tratamiento podrían causar sobre los derechos de los titulares.
En respuesta a un requerimiento de la Superintendencia de Industria y Comercio, los Responsables debería suministrar a esta una descripción de
tos procedimientos usados para la recolección de los datos personales, como también la descripción de las finalidades para las cuales esta
información es recolectada y una explicación sobre tal relevancia de los datos personales en cada caso. En respuesta a un requerimiento de la
Superintendencia de Industria y Comercio, quienes efectúen el Tratamiento de tos datos personales deberán suministrar a esta evidencia sobre la
implementación efectiva de las medidas de seguridad apropiadas*
8
El texto de la guía puede consultarse en: https://www.sic.gov.co/sites/default/files/files/Publicaciones/Guia-Accountability.pdf
9Estas medidas pueden ser de naturaleza administrativa, organizacional, estratégica, tecnológica, humanas y de gestión que Involucran procesas y
procedimientos
HOJA N 17
RESOLUCIÓN NÚMERO 59001 DE 2020 ,
“Por la cual se impone una sanción administrativa y se
imparten unas órdenes”
Precisado lo anterior, retomando el caso objeto de análisis, SODIMAC S.A asegura tener un
programa de Política de protección de datos personales y un Procedimiento de Protección de datos,
a través del cual garantiza una debida diligencia en el cumplimiento de las normas que gobiernan
la protección de datos.
Postura que no comparte esta Dirección por cuanto, contrario a lo señalado por la sociedad, queda
plenamente demostrado que, al 23 de febrero de 2019 la sociedad no había implementado las
medidas suficientes, útiles y efectivas relacionadas con el deber de obtener la autorización de los
datos de los Titulares cuya información administra. Prueba de ello, es el envío de la comunicación
en la fecha arriba citada, al correo electrónico del denunciante, sin mediar autorización para el
efecto, utilizando, además, un mecanismo absolutamente contrario a la ley, en tanto que el texto
de la misma señalaba: “Cuando no hago clic en la opción "ACEPTO", autorizo a Sodimac Colombia
S.A. como consta en el AVISO DE PRIVACIDAD expuesto en cada una de las tiendas HOMECENTER
y CONSTRUCTOR, de manera previa, expresa e inequívoca para que mis datos personales sean
tratados (recolectados, almacenados, usados, compartidos, procesados, transmitidos, suprimidos
o actualizados)." constituyéndose como un “consentimiento tácito”, conducta totalmente proscrita
por la ley y la jurisprudencia colombianas. En consecuencia, a juicio de la Dirección de
Investigación de Protección de Datos Personales, lo anterior significa que, toda la recolección, uso,
almacenamiento y circulación de la información a través de ese mecanismo es ilegítima.
Así pues, independientemente de que la sociedad cuente con una serie mecanismos
implementados, no acreditó, en lo corrido del trámite de la presente actuación administrativa, el
cumplimiento del deber establecido en la Ley Estatutaria en relación con los hechos materia de
investigación, pues como se ha expuesto, sus procedimientos y políticas internas no impidieron que
hiciera un tratamiento no autorizado de datos personales.
a) Multas de carácter personal e institucional hasta por el equivalente de dos mil (2.000) salarios
mínimos mensuales legales vigentes al momento de la imposición de la sanción. Las multas
podrán ser sucesivas mientras subsista el incumplimiento que las originó;
c) Cierre temporal de las operaciones relacionadas con el Tratamiento una vez transcurrido el
término de suspensión sin que se hubieren adoptado los correctivos ordenados por la
Superintendencia de Industria y Comercio;
(…)”.
Por su parte, La Corte Constitucional a través de sentencia C-557 de 2000, señaló que la ley
aprobatoria del Plan Nacional de Desarrollo tiene la siguiente naturaleza:
“Partiendo de la concepción que entiende la planeación como el instrumento fundamental para
el manejo económico del Estado, y con base en lo dispuesto por el inciso tercero del artículo 341
de la Constitución Política según el cual “(e)l Plan Nacional de Inversiones se expedirá mediante
una ley que tendrá prelación sobre las demás leyes”, y que “sus mandatos constituirán
mecanismos idóneos para su ejecución y suplirán los existentes sin necesidad de la expedición
HOJA N 18
RESOLUCIÓN NÚMERO 59001 DE 2020 ,
“Por la cual se impone una sanción administrativa y se
imparten unas órdenes”
de leyes posteriores”, la jurisprudencia ha destacado que la Ley del Plan de Desarrollo, que debe
expedirse en cada período presidencial, determina el contenido de las leyes anuales de
presupuesto, de otras leyes que tocan el tema económico, social o ambiental (…)”
El Plan Nacional de Desarrollo por ser una ley de iniciativa gubernamental y de un amplio consenso
tanto en la elaboración del proyecto de Ley como en su trámite legislativo- su cumplimiento debe
hacerse de manera inmediata por parte de todas las entidades de orden nacional 10. Su
cumplimiento se mide en la ejecución que se haga del Plan Nacional de Desarrollo dentro las
competencias que le sean propias a cada una de las entidades del orden nacional observando los
criterios de concurrencia, complementariedad y subsidiariedad.
En consecuencia, cualquier norma que se incluya dentro del Plan Nacional de Desarrollo debe ser
de obligatorio cumplimiento por las entidades que conforman la rama ejecutiva del nivel nacional a
través del respectivo plan de acción institucional como lo establece el inciso 1 del artículo 26 de la
ley 152 de 1994.
En ese orden de ideas, el artículo 49 de la Ley 1955 de 2019, mediante la cual se expide el Plan
Nacional de Desarrollo 2018-2022, establece lo siguiente:
ART. 49. —Cálculo de valores en UVT. A partir del 1º de enero de 2020, todos los cobros,
sanciones, multas, tasas, tarifas y estampillas, actualmente denominados y establecidos con
base en el salario mínimo mensual legal vigente, SMMLV, deberán ser calculados con base en
su equivalencia en términos de la unidad de valor tributario, UVT. En adelante, las
actualizaciones de estos valores también se harán con base en el valor de la UVT vigente.
PAR. —Los cobros, sanciones, multas, tasas, tarifas y estampillas, que se encuentren
ejecutoriados con anterioridad al 1º de enero de 2020 se mantendrán determinados en SMMLV.
De esta manera y de conformidad con la norma antes señalada, si el valor de los cobros, sanciones
o multas se encuentran establecidos en salarios mínimos, estos deberán ser calculados con base
en su equivalencia en términos de la unidad de valor tributario UVT. Por lo cual, las multas de
carácter personal e institucional dispuestas en la Ley 1581 de 2012, serán determinadas de la
siguiente manera:
Multa
en UVT
De otra parte, la ley 1581 de 2012 en su artículo 24 señala los criterios de graduación de las
sanciones de los cuales este Despacho entrará a determinar cuales se deben tener en cuenta en
caso concreto, así:
De otra parte, dentro del marco de la Ley 1581 de 2012, con relación a la imposición de la sanción,
el artículo 24 ibídem establece unos criterios de graduación que permiten garantizar el respeto de
las garantías del artículo 29 Constitucional11 y que, por lo tanto, esta Dirección deberá analizar para
el caso concreto y así determinar cuáles debe tener en cuenta. Esos criterios, según la sentencia
C-748 de 2012, hacen referencia a cinco circunstancias de agravación, entre los literales a) y e), y
a una circunstancia de atenuación o disminución de la sanción, correspondiente al literal f).
De igual forma, respecto a las sanciones que se imponen por la infracción al Régimen de Protección
de Datos, debe precisarse que conforme al principio de proporcionalidad que orienta el derecho
administrativo sancionador, esta Superintendencia debe ejercer su potestad sancionatoria de forma
razonable y proporcionada, de modo que logre el equilibrio entre la sanción y la finalidad que la
norma vulnerada que establezca, así como la proporcionalidad entre la gravedad de la infracción y
la sanción aplicada. Sobre la aplicación de este principio, la Corte Constitucional ha señalado:
Siendo así, para la correcta adecuación de los hechos y la sanción aplicable, el operador jurídico
en materia de protección de datos personales debe analizar todos los criterios de graduación del
artículo 24 de la Ley 1581 de 2012 con la finalidad de establecer cómo se aplican al caso concreto
y, de esa forma, seleccionar y graduar la sanción que se impondrá. Para esta finalidad, también se
pueden tener en cuenta para la dosificación de la sanción, el tamaño de la empresa, sus ingresos
operacionales, patrimonio y, en general, su información financiera, como también su rol dentro del
cumplimiento la Ley de habeas data financiero, de tal forma que la sanción resulte disuasoria más
no confiscatoria.
Es necesario precisar que las sanciones que se imponen dentro de procesos administrativos
sancionatorios no constituyen ninguna cuantificación de perjuicios materiales o morales, es decir
no se trata de la cuantificación de un daño subjetivo, como sucede en el régimen civil de
responsabilidad. Por el contrario, las sanciones que impone esta Superintendencia, en virtud del
artículo 23 y siguientes de la Ley 1581 de 2012, es una consecuencia negativa impuesta en contra
de la persona natural o jurídica que viole las disposiciones de la Ley 1581 de 2012. Esta
consecuencia negativa tiene como finalidad promover y garantizar el cumplimiento de la Ley de
habeas data financiero y, de esa forma, proteger el derecho fundamental a la protección de datos
personales, entre otros13.
La imposición de sanciones por violación de la Ley 1581 de 2012 tiene como fin central proteger y
promover el respeto del derecho fundamental a la protección de datos personales, derecho humano
(universal, inalienable, indivisible, irrenunciable e imprescriptible) que fue positivizado por el
Constituyente Primario en el artículo 15 de la Constitución de 1991, y que en muchas ocasiones es
conexo a otros derechos fundamentales de gran relevancia constitucional como la dignidad
humana, el buen nombre, la intimidad, etc.
Del mismo modo, la vulneración del derecho fundamental a la protección de datos personales no
solo afecta los derechos de una persona en particular, sino que pone en riesgo los derechos
fundamentales de toda la sociedad. Por eso, las sanciones de dichas conductas no pueden, ni
deben tratarse, como una cuestión insignificante o de poca monta. La transgresión flagrante a los
derechos humanos de un ciudadano es, por sí sólo, un hecho muy grave que no necesita de
forzosos razonamientos para evitar un desentendimiento de la importancia de lo sucedido.
Recuérdese que, según la Declaración Universal de los Derechos Humanos, “el desconocimiento y
el menosprecio de los derechos humanos han originado actos de barbarie ultrajantes para la
conciencia de la humanidad”14. Por eso, según dicho documento, se considera “esencial que los
derechos humanos sean protegidos por un régimen de Derecho”. No debe olvidarse que el respeto
de los derechos humanos es un elemento esencial de la democracia15.
Por otro lado, el artículo 24 de la Ley 1512 de 2012 indica los criterios a seguir para graduar las
sanciones en los siguientes términos:
“ARTÍCULO 24. CRITERIOS PARA GRADUAR LAS SANCIONES. Las sanciones por infracciones a las
que se refieren el artículo anterior, se graduarán atendiendo los siguientes criterios, en
cuanto resulten aplicables:
a) La dimensión del daño o peligro a los intereses jurídicos tutelados por la presente ley;
12
Corte Constitucional, Sala Plena, C-125 del 18 de febrero de 2003, Magistrado Ponente Marco Gerardo Monroy Cabra.
13
Las sanciones impuestas en función del derecho administrativo sancionatorio pretenden asegurar el orden público y el correcto funcionamiento
de la administración. Al respecto ver: Corte Constitucional, Sala Plena, C-703 de 2010, Magistrado Ponente Gabriel Eduardo Mendoza,
Considerando 5; Corte Constitucional, Sala Plena, C-010-03, Magistrada Ponente Clara Inés Vargas.
14
Organización de las Naciones Unidas (1948). Declaración Universal de los Derechos Humanos
15
Artículo 3 de la Carta Democrática Interamericana la cual se puede consultar en:
http://www.oas.org/OASpage/esp/Documentos/Carta_Democratica.htm
HOJA N 20
RESOLUCIÓN NÚMERO 59001 DE 2020 ,
“Por la cual se impone una sanción administrativa y se
imparten unas órdenes”
Por lo tanto, atendiendo dichos criterios, este Despacho entrará a determinar cuáles deberá tener
en cuenta en el caso en concreto, así:
10.1.1 La dimensión del daño o peligro a los intereses jurídicos tutelados por la ley
De la lectura de la norma citada, resulta claro que para que haya lugar a la imposición de una
sanción por parte de este Despacho, basta que la conducta desplegada por la investigada haya
puesto en peligro los intereses jurídicos tutelados por la Ley 1581 de 2012.
Respecto a las sanciones que se imponen por la infracción al Régimen de Protección de Datos,
debe precisarse que conforme al principio de proporcionalidad que orienta el derecho administrativo
sancionador, la autoridad administrativa debe ejercer su potestad sancionatoria en forma razonable
y proporcionada, de modo que logre el equilibrio entre la sanción y la finalidad de la norma que
establezca, así como la proporcionalidad entre el hecho constitutivo de la infracción y la sanción
aplicada. Sobre la aplicación de este principio, la Corte Constitucional ha señalado:
De esta forma, para la correcta adecuación de los hechos y la sanción aplicable, el operador jurídico
en materia de protección de datos personales, debe en primera medida, analizar la dimensión del
daño o peligro a los intereses jurídicos tutelados, así como el posible beneficio económico, para
luego analizar otras circunstancias concurrentes de graduación, tales como la capacidad económica
del investigado, la reiteración de la infracción, colaboración del investigado para esclarecer los
hechos investigados17.
16
Corte Constitucional, Sala Plena, Sentencia C-125 del 18 de febrero de 2003, Exp. Rad. D-4059, Magistrado Ponente
Dr. Marco Gerardo Monroy Cabra.
17
Ley 1581 de 2012 “Artículo 23. La Superintendencia de Industria y Comercio podrá imponer a los Responsables del
Tratamiento y Encargados del Tratamiento las siguientes sanciones: a) Multas de carácter personal e institucional hasta
por el equivalente de dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de la imposición de la
sanción. Las multas podrán ser sucesivas mientras subsista el incumplimiento que las originó; b) Suspensión de las
actividades relacionadas con el Tratamiento hasta por un término de seis (6) meses. En el acto de suspensión se
indicarán los correctivos que se deberán adoptar; c) Cierre temporal de las operaciones relacionadas con el Tratamiento
una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la
Superintendencia de Industria y Comercio; d) Cierre inmediato y definitivo de la operación que involucre el Tratamiento
de datos sensibles; Parágrafo. Las sanciones indicadas en el presente artículo sólo aplican para las personas de
naturaleza privada. En el evento en el cual la Superintendencia de Industria y Comercio advierta un presunto
incumplimiento de una autoridad pública a las disposiciones de la presente ley, remitirá la actuación a la Procuraduría
General de la Nación para que adelante la investigación respectiva.”
HOJA N 21
RESOLUCIÓN NÚMERO 59001 DE 2020 ,
“Por la cual se impone una sanción administrativa y se
imparten unas órdenes”
De acuerdo con lo anterior, es claro que la sociedad investigada vulneró los deberes que tiene los
responsables del tratamiento de datos personales, por tal razón se impondrá el monto de
DOSCIENTOS MILLONES CUATRO MIL QUINIENTOS DIECINUEVE PESOS M/CTE
($200.004.519), equivalente a Cinco Mil Seiscientos Diecisiete (5.617) en UVT Unidades de Valor
Tributario.
Por último se aclara que los criterios de graduación de la sanción señalados en los literales b), c),
d) y e) del artículo 24 de la Ley 1581 de 2008 no serán tenidos en cuenta debido a que (i) dentro
de la investigación realizada no se encontró que la investigada hubiera obtenido beneficio
económico alguno por la comisión de la infracción, (ii) no hubo reincidencia en la comisión de la
infracción, (iii) no hubo resistencia u obstrucción a la acción investigativa de la Superintendencia y,
(iv) no hubo renuencia o desacato a cumplir las órdenes e instrucciones del Despacho.
El criterio de atenuación señalado en el literal f) del artículo citado no se aplica toda vez que la
investigada no reconoció o aceptó la comisión de las infracciones.
DÉCIMO PRIMERO: En este orden de ideas, de acuerdo a los argumentos de hecho y de derecho
expuestos por la investigada en la respuesta al requerimiento de información, una vez analizadas
las pruebas obrantes en el expediente, y en virtud del literal e) del artículo 21 de la ley 1581 de
2012, mediante el cual se le asigna, entre otras funciones, esta superintendencia el “(...) impartir
instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los
responsables del tratamiento y encargados del tratamiento a las disipaciones previstas en la presente ley
(…)” esta instancia procederá a impartir las siguientes instrucciones:
• Así mismo, deberá proceder con la supresión de todos los datos personales, de los titulares
cuyo consentimiento haya obtenido mediante avisos de privacidad, conforme a lo expuesto
en la presente decisión.
• Se comprobó que la sociedad investigada infringió abiertamente las normas sobre protección
de datos personales consagradas el literal b) del artículo 17 de la Ley 1581 de 2012, en
concordancia con el literal c) del artículo 4 y el artículo 9 de la misma Ley, así como con los
artículos 2.2.2.25.2.2 y 2.2.2.25.2.5 del Decreto único Reglamentario 1074 de 2015, en tanto,
no demostró por ningún medio que contaba con la autorización previa, expresa e informada
para el tratamiento de datos personales del denunciante
Así las cosas, una vez analizada toda la actuación administrativa, la información y documentos que
conforman el expediente, encuentra este Despacho procedente imponer a la sanción
correspondiente DOSCIENTOS MILLONES CUATRO MIL QUINIENTOS DIECINUEVE PESOS
M/CTE ($200.004.519), equivalente a Cinco Mil Seiscientos Diecisiete (5.617) en UVT Unidades de
Valor Tributario, por la violación el literal b) del artículo 17 de la Ley 1581 de 2012, en concordancia
con el literal c) del artículo 4 y el artículo 9 de la misma Ley, así como con los artículos 2.2.2.25.2.2
y 2.2.2.25.2.5 del Decreto único Reglamentario 1074 de 2015 a la sociedad SODIMAC COLOMBIA
S.A
RESUELVE
ARTÍCULO PRIMERO: IMPONER una sanción pecuniaria a la sociedad SODIMAC COLOMBIA S.A
identificada con el Nit. 800.242.106-2 de expediente, encuentra este Despacho procedente imponer
a la sanción correspondiente DOSCIENTOS MILLONES CUATRO MIL QUINIENTOS
DIECINUEVE PESOS M/CTE ($200.004.519), equivalente a Cinco Mil Seiscientos Diecisiete
(5.617) en UVT Unidades de Valor Tributario, por violación a lo dispuesto en literal b) del artículo 17
de la Ley 1581 de 2012, en concordancia con el literal c) del artículo 4 y el artículo 9 de la misma
Ley, así como con los artículos 2.2.2.25.2.2 y 2.2.2.25.2.5 del Decreto único Reglamentario 1074
de 2015.
PARÁGRAFO: El valor de la sanción pecuniaria que por esta resolución se impone, deberá
consignarse en efectivo o cheque de gerencia en el Banco Popular, Cuenta No. 050000249, a
nombre de Dirección del Tesoro Nacional – Fondos Comunes, Código Rentístico No. 350300, Nit.
899999090-2. El pago deberá efectuarse dentro de los cinco (5) días hábiles siguientes a la
ejecutoria de esta resolución y acreditarse en la ventanilla de Tesorería de esta Superintendencia
con el original de la consignación, donde le expedirán el recibo de caja aplicado a la resolución
sancionatoria. Vencido este plazo se cobrarán intereses por cada día de retraso, liquidados a la
tasa del 12% efectivo anual.
• Deberá proceder con la supresión de todos los datos personales, de los titulares cuyo
consentimiento haya obtenido mediante avisos de privacidad, conforme a lo expuesto en la
presente decisión.
Para ello deberá aportar una certificación de cumplimiento expedida por un auditor externo
cualificado.
Proyectó: JMBG
Revisó: LMRZ
Aprobó: CESM
HOJA N 24
RESOLUCIÓN NÚMERO 59001 DE 2020 ,
“Por la cual se impone una sanción administrativa y se
imparten unas órdenes”
NOTIFICACIÓN:
Investigada:
Entidad: SODIMAC COLOMBIA S.A
Identificación: Nit.: 800.242.106-2
Representante Legal: MIGUEL PARDO BRIGARD
Identificación: C.C. No. 79.520.939
Dirección: CRA 68 D # 80 -70
Ciudad: Bogotá DC
Correo electrónico: notificacionesjudiciales@homecenter.co
Apoderado:
COMUNICACIÓN:
Señor: XXXXXXXXXX
Identificación: C.C. No. XXXXXXXX
Ciudad: XXXXX
Correo electrónico: XXXXXXXXX